Seleção de certificados STARTTLS de entrada

  • Artigo

 

Aplica-se a: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007

Tópico modificado em: 2011-01-19

A seleção de um certificado STARTTLS de entrada ocorre nos seguintes cenários:

  • Os hosts SMTP solicitam o protocolo TLS com servidores de Transporte de Borda. O host que solicita TLS com o servidor de Transporte de Borda pode ser qualquer outro host SMTP. Isso também acontece no cenário de Segurança de Domínio. Para obter mais informações sobre Segurança de Domínio, consulte Planejando segurança de domínio.

  • Clientes SMTP, como o Microsoft Outlook Express, solicitam TLS com servidores de Transporte de Hub.

  • Servidores de Transporte de Hub voltados para a Internet solicitam TLS com um servidor de Transporte de Borda.

Quando uma sessão SMTP é estabelecida, o servidor de destino inicia um processo de seleção de certificado para determinar o certificado usado na negociação de TLS. O servidor de envio também executa um processo de seleção de certificados. Para obter mais informações sobre esse processo, consulte Seleção de certificados TLS anônimos de saída.

Este tópico descreve o processo de seleção de certificado para STARTTLS de entrada. Todas as etapas descritas neste tópico são realizadas no servidor de recebimento. A figura a seguir mostra as etapas desse processo.

Seleção de um certificado STARTTLS de entrada

Seleção de um certificado STARTTLS de entrada

  1. Quando a sessão SMTP é estabelecida, o Microsoft Exchange chama um processo para carregar os certificados.

  2. Na função de carregamento do certificado, o Conector de Recebimento ao qual a sessão está conectada é verificado para confirmar se a propriedade AuthMechanism está definida como TLS. Você pode definir a propriedade AuthMechanism no Conector de Recebimento usando o cmdlet Set-ReceiveConnector. Também é possível definir a propriedade AuthMechanism como TLS, selecionando TLS (Transport Security Layer) na guia Autenticação de um determinado conector de Recebimento.

    Se TLS não estiver habilitado como mecanismo de autenticação, o servidor não irá anunciar X-STARTTLS como uma opção para o servidor de envio e nenhum certificado será carregado. Se TLS estiver habilitado como mecanismo de autenticação, o processo de seleção de certificado seguirá para a etapa seguinte.

  3. O processo de seleção de certificado recupera o valor do FQDN (nome de domínio totalmente qualificado) da configuração do conector de recebimento. Se o valor do FQDN do conector de recebimento for null, o FQDN físico do servidor será recuperado.

  4. O processo de seleção de certificados pesquisa, no repositório de certificados do computador local, certificados que correspondam ao FQDN. Se nenhum certificado for localizado, o servidor não anunciará X-STARTTLS, nenhum certificado será carregado e a ID de Evento 12014 será registrada no log de Aplicativos.

  5. O processo de seleção de certificados busca todos os certificados no repositório de certificados que possuam um FQDN correspondente. Nessa lista, o processo de seleção de certificado identifica uma lista de certificados qualificados. Os certificados qualificados devem atender aos seguintes critérios:

    • O certificado é um X.509 versão 3 ou um certificado de uma versão posterior.

    • O certificado possui uma chave particular associada.

    • Os campos Assunto ou Nome Alternativo do Assunto contêm o FQDN recuperado na etapa 3.

    • O certificado é habilitado para uso com SSL/TLS. Mais especificamente, o serviço SMTP foi habilitado para este certificado com o cmdlet Enable-ExchangeCertificate.

  6. Se nenhum certificado qualificado for localizado após essa verificações, o servidor não anunciará X-STARTTLS, nenhum certificado será carregado e a ID de Evento 12014 será registrada no log de Aplicativos.

  7. Dentre os certificados qualificados, o melhor é selecionado com base nesta seqüência:

    • Classifique os certificados qualificados pela data Valid from mais recente. Valid from é o campo Versão 1 no certificado.

    • O primeiro certificado de PKI (infra-estrutura de chave pública) válido encontrado nessa lista é usado.

    • Se não for encontrado nenhum certificado de PKI válido, será usado o primeiro certificado autoassinado.

  8. O certificado será examinado para verificar se expirou. O campo Valid to nas propriedades do certificado é comparado à data e hora atuais. Se o certificado não tiver expirado, STARTTLS será anunciado. Se o certificado tiver expirado, a ID de Evento 12016 será registrada no log de Aplicativos, mas, ainda assim, STARTTLS será anunciado.

Para obter mais informações

Para obter mais informações sobre como os certificados são selecionados para outros cenários TLS, consulte os seguintes tópicos: